Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Limitador por IP (Solucionado)

    Scheduled Pinned Locked Moved Español
    18 Posts 9 Posters 8.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      amnarl
      last edited by

      Si bien se ha comentado de esto anteriormente les indico que por falta de tiempo no habia colgado informacion de esto por ello aprovecho este hilo para indicar algunos detalles para aquellos que buscan tener manejo de ancho de banda de una manera mas directa y efectiva, ademas del envio de cache a full velocidad.

      Si bien es cierto squid puede manejar ancho de banda por medio de delay_spool esto genera control de la velocidad de DESCARGA por clientes, grupos,etc. Todo en funcion de la direccion ip. Porque resalto DESCARGAS por que realmente solo puedes controlar velocidad de bajada mas no de subida en squid por medio de las clases delay.
      Ahora bien recordar que queremos o deseamos enviar a full velocidad el contenido alojado en la cache del proxy esto es casi imposible si estamos usando el mismo proxy para delimitar ancho de banda y es donde cada uno se tranca tratando de lograrlo.

      La idea es tener a pfsense fuera de squid si hacen uso del proxy para cache y otras delimitaciones a clientes como bloqueos por renta vencida, bloqueo por tipos de usuarios, redirector para promociones, ofertas, avisos.

      Ahora vamos a establecer un pequeño diagrama de como seria una topologia de red que pueda ofrecer la posibilidad de establecer primeramente planes de navegacion limitando subida y bajada, envio de cache a full velocidad bien sea por grupo de clientes o a toda la red de clientes. Ademas de proteccion de los servicios. Y seguridad 100 % anticlonaje y saltos en portal cautivo.

      Ejemplo:

      ADSL o conexion a internet–-------------> Pfsense ----------------------> DMZ para servidores
                                                                        l      l
                                                                        l      l
                                                                        l      l
                Red de clientes  ------------------    <      >    Red no clientes con portal cautivo promocional

      Breve explicacion de las bondades de este tipo de topologia

      DMZ

      Al poseer una DMZ se delimita el area de los servicios o servidores creando asi la posibilidad de que se puedan establecer reglas claras de acceso a los mismo en cada una de las subredes existentes. Igualmente se tiene la posibilidad de trabajar con los NATs para establecer el acceso desde el exterior a los servicios sin posibilidad de enredar las reglas ya que no afectan a los clientes.

      Red no clientes

      Esta subred ofrece la posibilidad de dejar limitados completamente a este tipo de hosts clientes ya que en ello solo habilitaremos el acceso al portal un dns local restrigido y acceso a la web promocional del negocio pudiendo asi captar clientes inalambricos sin necesidad de arriesgar la seguridad de los clientes registrados. Evita el clonaje de mac para saltar el portal cautivo ya que si clonan alguna MAC sera igual de otro no cliente cosa que no es posible trabajando un portal cautivo dentro de la subred de clientes.

      Red clientes

      En esta manejaremos los usuarios realmente registrado pero no por ello tendran acceso a todo, aca se limita la forma como pueden conectarse estos clientes con reglas precisas de acceso a los servicios bien sea por clientes o grupos de clientes.
      Se crearan todas las delimitaciones para que estos accesen a el DNS PROXY-CACHE Y SERVIDOR WEB ubicados en DMZ con la posibilidad de tener por medio de ALIASSES grupos de clientes que pueden poseer reglas de acceso muy distintas de otros.

      Bien delimitando esta topologia ahora vamos al caso de full velocidad cache y limitar ancho de banda tanto subida como bajada correctamente.

      Pfsense lo usaremos con 4 TARJETAS DE RED que son las sub redes mencionadas anteriormente y este hara lo siguientes servicios. FIREWALL - ENRUTADOR, se puede configurar dns forwarder si no tenemos un dns local preferiblemente montar uno en DMZ, DHCP para amarrar MAC-IPS estableciendo ips fijas para clientes entregadas por DHCP. Estableciendo el tilde Deny unknown clients en zona de clientes para evitar que hosts no registrado puedan entrar un pequeño seguro mas que recuerden a nivel informatico nunca esta demas. Ademas y es el tema principal iremos al apartado FIREWALL/TRAFFICSHAPER en la pestaña LIMITER a fijar las velocidades necesarias para los diferentes planes a usar en los clientes definiendo bajada y subida bien sea en Kbps, Mbps, etc como prefieran. Recordar que si se establecera por ips o grupos de ips se debe colocar en el apartado MAC el numero 32 Yo he creado asi estos ejemplos de limiters

      Plan 512
      Subida_512  Bandwidth 200 Burst 250 Usando Kbit/s RECORDAR 255.255.255.255/ 32
      Bajada_512  Bandwidth 512 Burst 700 Usando Kbit/s RECORDAR 255.255.255.255/ 32

      Ya con esto tenemos establecido un manejador de ancho de bandas para el plan 512 el cual podemos aplicar al grupo

      Clientes_512 en el apartado IN/OUT de la regla como lo indican las pantallas al inicio de este POST

      Realice usted sus limiters necesarios

      Y por ultimo manejara portal cautivo exclusivo a usar en la subred de no clientes. Esto ayudara a optimizar pfsense y necesitar no mucho recursos para cubrir muchos clientes efectivamente.

      Ahora bien como establecer la velocidad realmente y el envio de cache a full velocidad.

      Si bien es cierto debes poseer en este tipo de topologia reglas de acceso a los servicios en la sub red de clientes, yo las he usado asi:

      1 Acceso desde lan clientes a dmz (Servidor dns) No he colocado limitante en la velocidad para toda la subred . Esto para que a resolucion de nombres se haga a toda velocidad sin limitaciones.
      2 Acceso desde lan de clientes a DMZ (Servidor web- Pagina local) No he colocado limitante en la velocida para toda la sub red.
      3 Acceso desde lan clientes o cada grupos de clientes (ALIASSES) a DMZ (Servidor PROXY-SQUID) Aqui debes colocar las limitantes de velocidad que requieras normalmente tengo como comente varios grupos de clientes para los diferentes planes y clientes ilimitados.

      Bueno Espero poder aportar breves ideas sobre este tema y en general….......
      De considerarlo asi el Maestro Bellera no tendria problema en modificar o elaborar de manera mas didactica estas breves descripciones para todo aquel que desee adaptarlas a su entornor y obterner asi un rendimiento optimo de sus redes de servicios....

      Estamos siempre a su orden....

      Atte: Alfredo Goitia

      Saludos!!!!

      Configuracion y puesta en marcha de servers incluyendo pfsense en areas de produccion, para administrar y proveer servicios . Servicio tecnico presencial y online. Reparacion y mantenimiento de computadores. Instalacion y actualizacion de sistemas (Linux, Windows,Os/2) Conectividad a internet en zonas del Estado Lara donde no hay red cableada.
      http://www.linkedin.com/pub/amnarlyei-goitia/66/b2/722

      1 Reply Last reply Reply Quote 0
      • A
        acriollo
        last edited by

        Muy buen apunte amnarl .  para dar orden a las instalaciones.

        1 Reply Last reply Reply Quote 0
        • ZACZ
          ZAC
          last edited by

          @amnarl, me interesa mucho tu post, no lo cito porque es bastante extenso, ¿el pfSense administraría las dos subredes, y el dmz?, y en otro equipo físico si instala un servidor dns y un proxy cache, osea para lograr esto que dices se necesitarían dos equipos físicos no?, no se si mandarte un mensaje privado, pero bueno, sin la intención de desvirtuar el hilo expongo aquí.

          Por ejemplo mi caso es un pfSense que balancea 3 adsl (ocupo 3 interfaces fisicas para eso) una lan (una interfaz física), para tener la dmz tendría que tener otra interfaz (ya sea vlan o no), y esta sería para conectar a otro equipo o dos, dependiendo, que sería un servidor dns y un proxy cache?, ¿es así?, disculpa que pregunte, pero es que me intereso muchísimo tu idea y la quiero aplicar, pero quiero que me quede claro primero :D

          1 Reply Last reply Reply Quote 0
          • A
            acriollo
            last edited by

            La idea general ZAC es que los servicios que provees para tus usuarios en las redes que tengas ( LAN, Wireless, HotSpot, etc) , se encuentren protegidos por el firewall de manera perimetral.  Adicionalmente creo yo, cada servicio o servidor debera de estar protegido para aceptar solo las conexiones de los hosts o redes deseadas.

            Saludos

            1 Reply Last reply Reply Quote 0
            • ZACZ
              ZAC
              last edited by

              Y eso como lo hago? :P

              1 Reply Last reply Reply Quote 0
              • A
                amnarl
                last edited by

                Saludos mi estimado zac son dos equipos fisicos….

                Fijate tengo un Dual core de 2.7 doble nucleo con 8 Gb de ram en el cual tengo instalado windows a 64 Bits alli con virtualbox manejo tres maquinas virtuales dos Debian 64bits (Por ahora hasta unificar el cache) Uno de los debian hace los siguientes servicios (Web, dns con doble vista para resolver dominio en internet, y cache-proxy con un forks de thunder modificado para full cache de youtube),el otro debian hace un segundo dns local solamente y otro cache- proxy de pruebas. La otra maquina es  ubuntu 64 bits el cual solo hace correo  con zimbra.

                Y otro equipito con un pentiun IV con 512 Mb de ram hace de pfsense haciendo su parte.

                Tomar en cuenta que el equipo el cual hace de servidor de servidores virtuales si debe ser potente para sostener todo los servicios excelentemente. Como tambien claro esta que teniendo estos servicios montandos en un equipo servidor real con varios nucleos disponibles y mucha mas memoria, ademas de disco de alta transferencia para el cache daria mayor performance a toda la red de servicios.

                Estamos a la orden

                Configuracion y puesta en marcha de servers incluyendo pfsense en areas de produccion, para administrar y proveer servicios . Servicio tecnico presencial y online. Reparacion y mantenimiento de computadores. Instalacion y actualizacion de sistemas (Linux, Windows,Os/2) Conectividad a internet en zonas del Estado Lara donde no hay red cableada.
                http://www.linkedin.com/pub/amnarlyei-goitia/66/b2/722

                1 Reply Last reply Reply Quote 0
                • A
                  amnarl
                  last edited by

                  Aca una pequeña muestra del rendimiento que puede dar este tipo de estructura aca se reciben 10 mb de bajada y 700 kbps de subida con 35 clientes inscrito en el mismo esos son los resultados…

                  Configuracion y puesta en marcha de servers incluyendo pfsense en areas de produccion, para administrar y proveer servicios . Servicio tecnico presencial y online. Reparacion y mantenimiento de computadores. Instalacion y actualizacion de sistemas (Linux, Windows,Os/2) Conectividad a internet en zonas del Estado Lara donde no hay red cableada.
                  http://www.linkedin.com/pub/amnarlyei-goitia/66/b2/722

                  1 Reply Last reply Reply Quote 0
                  • D
                    DavidEc
                    last edited by

                    amnarl, Podria poner 2 maquinas ambas con pfsense para que hagan algo similar a lo q estas haciendo tu ??

                    1 Reply Last reply Reply Quote 0
                    • A
                      amnarl
                      last edited by

                      saludos mi estimado DavidEc, algo como que una sea el firewall y la otra proxy?? a eso te refieres?? Si esto sip claro que podrias hacerlo sin problemas

                      Configuracion y puesta en marcha de servers incluyendo pfsense en areas de produccion, para administrar y proveer servicios . Servicio tecnico presencial y online. Reparacion y mantenimiento de computadores. Instalacion y actualizacion de sistemas (Linux, Windows,Os/2) Conectividad a internet en zonas del Estado Lara donde no hay red cableada.
                      http://www.linkedin.com/pub/amnarlyei-goitia/66/b2/722

                      1 Reply Last reply Reply Quote 0
                      • C
                        c_setup
                        last edited by

                        perdon, pero de acuerdo a la discucion se debe poner la mascara en 32 para que de ahi se generen todas las demas en un limite estandar??

                        1 Reply Last reply Reply Quote 0
                        • S
                          somnus1654 Rebel Alliance
                          last edited by

                          @fjluque:

                          Ya funciona. Gracias!

                          Como quedo la configuracion?

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.